《信息安全概述》PPT课件

1,信息安全概述,主讲人：翟健宏Email:zhaijh办公室:新技术楼509Tel2,信息安全概述,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,3,1Internet现状,国际1969年开始，起源于军事应用1993年以后，开始商业应用2000年状况已覆盖175个国家和地区上网机器达数千万台用户数量超过1亿,4,国内1987年开始，四大互连网与国际直连。1999年统计，上网机器达146万台，上网人数超过400万人，公共电子媒体已超过9000个，CN注册域名总数达29000个，国际出口总带宽达143M256K2004-1，上网用户人数约7950万人，国际出入口总带宽27，216M。2007-12，网民总人数为2.1亿人（略低于美国的2.15亿），国际出口带宽总量为368,927M。,5,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,6,2Internet发展的技术要素,使用了一个统一有效的网络互联协议集TCP/IP在TCP/IP之上开发了许多出色的服务软件采用主干-地区-园区的分层网络结构较早利用光缆，保持了信息传输通畅NSFnet作为主干网络，连接大学和科研机构计算机技术的高速发展,7,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,8,3Internet网络安全脆弱性,安全问题2007年网民中网络安全问题发生的比率,9,用户关注的问题:对信息被他人利用缺乏控制能力；担心自己的计算机系统遭到外界的破坏（包括怀有敌意的破坏和收到大批电子邮件广告）承担计算机系统故障的风险；对个人财产、网络购物等行为的安全忧虑对政府以处理案件为由，而截收信息的动机存在不信任感；,10,Internet当前主要威胁类型：计算机病毒黑客入侵蓄意破坏美国信用卡公司损失1.41来自内部的攻击（90%相关）其它犯罪知识产权、隐私权、媒体传播、欺骗敲诈等,11,安全专家的观点Internet从建立开始就缺乏安全的总体构想和设计。TCP/IP协议是在可信环境下，为网络互联专门设计的，缺乏安全措施的考虑。,12,TCP/IP协议的安全脆弱性理论分析：IP层：缺乏安全认证和保密机制（IP地址问题）TCP/UDP层：TCP连接建立时的“三次握手”，TCP连接能被欺骗、截取、操纵；UDP易受IP源路由和拒绝服务的攻击应用层:认证、访问控制、完整性、保密性等所有安全问题:Finger,FTP,Telnet,E-mail,DNS,SNMP,.Web,Notes,Exchange,MIS,OA,DSS.,13,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,14,4网络威胁,网络威胁分类：黑客黑客“Hacker”（原意）：一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号。恶意代码具有攻击破坏行为的程序或片断，病毒、worm、木马、流氓软件等、网络基础设施破坏网络设备、通讯线路信息战信息战指双方为争夺对于信息的获取权、控制权和使用权而展开的斗争。是以计算机网络为战场，计算机技术为核心、为武器，是一场智力的较量。,15,恶意代码典型案例1983年，弗雷德科恩(FredCohen)博士研制出一种运行过程中可以复制自身的破坏性程序，伦艾德勒曼将它命名为ComputerVirus。1999年，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。2000年，“爱虫”大爆发两天之后，全球约有4500万台电脑被感染，造成的损失已经达到26亿美元。今后几天里，“爱虫”病毒所造成的损失还将以每天10亿美元到15亿美元的速度增加。,16,黑客典型案例2000年2月，黑客攻击潮汹涌而来。垃圾邮件堵死了雅虎；世界最著名的网络拍卖行电子湾（eBay）也因神秘客袭击而瘫痪；美国有线新闻网CNN的网站，瘫痪近两个小时；顶级购物网站亚马逊也被迫关闭一个多小时。在此之后又有一些著名网站被袭击：ZDnet，Etrade，Excite，Datek到2月17日为止，黑客攻击个案已增至17宗，而且可能有更多网站受袭而未被察觉。2001年春节，新浪网邮件服务器瘫痪了18个小时。造成了几百万的用户无法正常的联络。广东免费邮箱，黑客进去以后进行域名修改，打开邮箱就向美国去了，造成400多万用户不能使用。,17,黑客典型案例（续）黑客战争我们国家的一些政府网站，遭受了四次大的黑客攻击事件。第一次，99年1月份左右，但是美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织，世界上各个国家的一些黑客组织，有组织地对我们国家的政府网站进行了攻击。第二次，99年7月份，台湾李登辉提出了两国论。第三次，2000年5月8号，美国轰炸我国驻南联盟大使馆后。第四次，2001年4月到5月，美机撞毁王伟战机侵入我海南机场,18,网络基础设施破坏2006年12月26日，地震袭导致中美高速海底光缆、亚太1号等6组国际海底通信光缆发生中断，造成我国互联网大面积瘫痪，无法与国外连通。954%的网友称断网影响生活；地震震瘫1亿国人网络；1500万MSN用户无法互联；MSN震瘫，原QQ用户回流日涨数十万；光缆中断导致近万COM域名丢失。2008-2-1中国电信公布：由於暴风雪对公司的基站、地下电缆等基础设施造成破坏，估计总损失达5,690万元人民币。,19,信息战张召中教授如是说战争形态产生4次较大的变革，从冷兵器、热兵器、机械化，发展到现在的信息化战争，新军事变革的核心是信息化，新军事化变革的思维概念是系统集成和技术融合，要通过较少的投入获得最大的效益。信息战的特点信息攻击花费低传统边界模糊，管理观念的困难战略情报的不可靠性战术警报/攻击估计极端困难建立和维持合作关系变得更为复杂无安全的战略后方,20,信息战战例一、1990年海湾战争，被称为“世界上首次全面信息战”，充分显示了现代高技术条件下制信息权”的关键作用。美军通过向带病毒芯片的打印机设备发送指令，致使伊拉克军队系统瘫痪，轻易地摧毁了伊军的防空系统。战例二、科索沃战争美国的电子专家成功侵入了南联盟防空体系的计算机系统。当南联盟军官在计算机屏幕上看到敌机目标的时候，天空上其实什么也没有。美军雇佣黑客闯入瑞士银行系统，调查南联盟首领米洛舍维奇米氏的存款情况并加以删除。,21,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,22,5.1信息安全内涵,信息具有一定含义（价值）的数据例如：（110101）53B，110,101D,乐谱（women）女士，我们网络信息多指数字化信息信息系统软件、硬件、数据、用户,23,信息安全任务：保护信息系统中的软件、硬件和数据不遭受偶然或恶意的破坏、更改、泄露，系统能够连续可靠正常地运行绝对性：木桶原理相对性：没有绝对的安全如何做好安全：三分技术、七分管理,24,信息安全目的保密性、完整性、可用性、可控性、抗抵赖性保密性指保证信息不泄漏给未经授权的人。完整性指防止信息被未经授权的篡改。可用性指保证信息及信息系统为授权使用者所用。可控性指对信息及信息系统实施安全监控。抗抵赖性指防止通信双方否认发生过的通信。,25,5.2信息安全的发展,60-70年代:通信保密（COMSEC）：信息保密主要解决的问题：发方与收方之间的信源编码、信道编码、信道传输、通信协议和密码。,26,80-90年代：信息安全（INFOSEC）：主要解决的问题：信息的机密性、完整性、可用性、可控性、不可否认性。,27,90年代后：美国人提出信息保障的概念IA（InformationAssurance）:保护（Protect）检测（Detect）反应（React）恢复（Restore）,28,5.3信息安全内容范畴,安全监管,信息,系统,安全保障,信息语义范畴：内容,网络虚拟世界：行为,信息语法范畴：数据,网络物理世界：软硬件,29,数据安全数据完整性数据保密性数据可用性系统、网络（软硬件）安全系统完整性系统可用性,内容安全内容可信性内容完整性内容保密性内容危害性行为安全行为可信性行为有效性行为保密性行为完整性性为连续性,30,5.4安全执行体系,安全保障体系：运营部门安全监管体系：监管当局安全应急体系：专业与运营部门安全威慑体系：政法与军队,31,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,32,6网络信息安全的意义,6.1关于信息,信息革命是人类第三次最伟大的生产力革命。四个现代化，哪一化也离不开信息化。,江泽民,谁掌握信息，谁就掌握了主动权。克林顿,信息资源及其基础设施成为了角逐世界领导地位的舞台。普京,33,胡锦涛：高度重视互联网对舆论影响胡锦涛重要指示参观计算机安全产品展览要高度重视我国计算机信息系统的安全问题，进一步提高自我保护和防范意识；要大力加强计算机安全技术的自我研究和开发，并注意吸收和借鉴国外的先进技术；要采取有力措施，健全法制，加强管理，切实保障国家计算机信息系统的安全。温家宝：大力推进社会信息化黄菊：发展信息产业构建和谐社会李长春：掌握网上舆论引导的主动权,34,6.2信息安全的严峻形势,2007年上半年CNCERT/CC非扫描类网络安全事件报告,35,2007年上半年中国大陆地区被木马控制IP分布图,抽样监测：木马控制端IP地址总数为209,949个，被控制端IP地址总数为1863,753个。,36,6.3可持续发展的保障信息是社会发展的重要战略资源。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题，信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国在奋力攀登的制高点。网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。-沈昌祥,37,6.4政治安全以美国为首的西方国家，始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。2001年初，美国国务卿奥尔布来特在国会讲：“中国为了发展经济，不得不连入互联网。互联网在中国的发展，使得中国的民主真正的到来了。”香港广角镜月刊7月号文章：中情局对付中国的十条诫令,38,6.5经济安全一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪97年20几起，98年142起，99年908起，2000年上半年1420起。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起。涉及的金额几个亿。,39,6.6美国网络攻击的来源,40,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,41,7Internet网络安全技术,7.1信息安全体系架构7.2网络安全技术简介,42,7.1信息安全体系架构,信息安全体系架构国外，面向属性的信息安全框架：信息安全金三角,43,信息安全体系架构国内，面向应用的信息安全框架：信息安全分层结构,44,ISO7498-2，信息安全体系结构基于OSI七层网络协议之上的信息安全体系结构五大类安全服务八类安全机制OSI安全管理,45,ISO7498-2，五大类安全服务鉴别这种安全服务提供对通信中的对等实体和数据来源的鉴别。访问控制这种服务提供保护以对付OSI可访问资源的非授权使用。这些资源可以是经OSI协议访问到的OSI资源或非OSI资源。数据机密性这种服务对数据提供保护使之不被非授权地泄露。,46,ISO7498-2，五大类安全服务完整性这种服务对付主动威胁；在一次连接上,连接开始时使用对等实体鉴别服务,在连接的存活期，使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证。另外,还能为数据单元的重复提供检测,例如使用顺序号。抗否认性有数据原发证明的抗抵赖有交付证明的抗抵赖,47,ISO7498-2，八类安全机制加密数字签名机制访问控制机制数据完整性机制鉴别交换机制通信业务填充机制通信业务填充机制能用来提供各种不同级别的保护,抵抗通信业务分析。这种机制只有在通信业务填充受到机密服务保护时才是有效的。,48,ISO7498-2，八类安全机制路由选择控制机制路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继。公证机制有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。,49,ISO7498-2，OSI安全管理系统安全管理安全服务管理安全机制管理OSI管理的安全所有OSI管理功能的安全以及OSI管理信息的通信安全是OSI安全的重要部分。,50,7.2网络安全技术简介,51,网络信息安全技术应用简介,52,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,53,8网络应用实体结构分类,Internet网络系统；开放、面向大众、共享信息资源。Intranet网络系统；企业内部、基于Internet基本协议、完成企业内部各种管理需要（MIS、OA、TPS、专用事物处理），企业内跨平台操作。Extranet网络系统；企业完成对合作伙伴的信息服务支持，提供专用的企业应用。专用网络系统；特定的网络协议、特殊的应用目的。,54,Internet现状Internet发展的技术要素Internet网络安全脆弱性网络威胁信息安全的含义网络安全的意义Internet网络安全技术网络应用实体结构分类计算机系统安全等级保护制度网络安全建设工作内容我国有关标准的制定,55,9计算机系统安全等级,1）安全等级A级：绝对可信网络安全B级：完全可信网络安全（B1、B2、B3）C级：可信网络安全（C1、C2）D级：不可信网络安全,56,2）TCP/IP安全层次端口级地址级用户级数据级,57,Internet现状Internet发展的技术要素Intern